Hyper-V主机和VMM主机申请服务器证书的方法

在配置好证书服务器之后，可以为Hyper-V主机、VMM主机申请“服务器证书”。申请的证书的名称应该是相关服务器对外提供的名称，例如Hyper-V主机对外名称为mh.heuet.com，则申请的证书名称则是mh.heuet.com；而VMM主机申请的证书名称则是vmm.heuet.com。可以在任意一台主机（或虚拟机）中使用IE浏览器申请证书，然后使用“证书”控制台组件导出证书私钥，然后将导出的证书复制到相关服务器进行安装及替换。

对于使用自建的证书服务器，如果要申请“服务器证书”（或“计算机证书”），需要以下几步。

1）信任“根证书”颁发机构。

2）使用IE浏览器登录证书颁发页（通常为http：//证书服务器域名或IP地址/certsrv）。

3）申请指定名称的证书，申请的过程中允许导出私钥。

4）在浏览器或使用MMC+证书管理单元，在“用户存储”中导出私钥，再在“证书+本地计算机”管理单元中导入。

下面我们在Hyper-V主机中依次执行这些步骤。

1.下载根证书

1）切换到Hyper-V主机，打开IE浏览器，进入证书颁发页，在本例中，证书服务器的地址为http：//222.30.214.172/certsrv（或http：//dcser.heuet.com/certsrv），如图2-4-59所示。在申请证书之前，需要修改IE的默认设置，允许运行ActiveX脚本以从证书服务器申请证书。在“工具”菜单选择“Internet选项”。

2）为了能从证书服务器申请证书，需要将证书颁发站点添加到“可信站点”，并修改安全级别。在“安全”选项卡中，选中“可信站点”，单击“站点”按钮，在弹出的“可信站点”对话框中，将http：//222.30.214.172（或http：//dcser.heuet.com/certsrv）添加到列表中，并取消“对该区域中的所有站点要求服务器验证”选项，如图2-4-60所示。

图2-4-59 证书申请页

图2-4-60 添加证书颁发站点到可信网站

3）添加可信站点之后，单击“关闭”按钮返回“安全”选项卡，并单击“自定义级别”按钮（如果“自定义级别”按钮不可用，请先单击“默认级别”按钮），在弹出的“安全设置-受信任的站点区域”对话框中，在“ActiveX控件和插件”选项中，请“启用”各个选项，这包括“ActiveX控件自动提示”“对标记为可安全执行脚本的ActiveX控件执行脚本”“对未标记为可安全执行脚本的ActiveX控件初始化并执行”“二进制脚本行为”“下载未域名的ActiveX控件”“下载己域名的ActiveX控件”“允许Scriptlet”“允许运行以前未使用的ActiveX而不提示”“运行ActiveX控件和插件”等选项，如图2-4-61所示。设置完成之后，单击“确定”按钮，在弹出的“警告”对话框中，单击“是”按钮，如图2-4-62所示。

图2-4-61 启用ActiveX控件

图2-4-62 确认设置

4）设置完成之后，单击右上角的“主页”返回到证书服务主页，单击“下载CA证书、证书链或CRL”链接，如图2-4-63所示。

5）单击“下载CA证书”链接，在弹出的快捷菜单中选择“保存”按钮，如图2-4-64所示，然后将下载的根证书保存在当前计算机一个文件夹中，例如C盘的CA目录。

图2-4-63 在证书服务主页下载证书

图2-4-64 下载并保存根证书

2.信任根证书

之后运行MMC，添加“证书”管理单元，信任根证书，主要步骤如下。

1）运行MMC，在“控制台1”对话框中单击“文件”菜单，选择“添加/删除管理单元”选项，如图2-4-65所示。

2）在“添加或删除管理单元”对话框中，在“可用的管理单元”列表中双击“证书”选项，在弹出的“证书管理”对话框中选择“我的用户账户”，然后单击“完成”按钮返回；之后再次双击“证书”选项，在弹出的“证书管理”中选择“计算机账户”，然后单击“完成”按钮返回，这样分别添加了“证书管理-当前用户”及“证书（本地计算机）”管理单元，如图2-4-66所示。之后单击“确定”按钮完成证书管理单元的添加。

图2-4-65 添加/删除管理单元

图2-4-66 添加证书管理单元

3）在“控制台”中依次展开“证书（本地计算机）→受信任的根证书颁发机构→证书”，右击“证书”，在弹出的快捷菜单中选择“所有任务→导入”，如图2-4-67所示。

4）在“证书导入向导”中，选择图2-4-64中下载的根证书文件，如图2-4-68所示，然后单击“下一步”按钮完成根证书的导入（信任根证书）。

图2-4-67 选择导入命令

图2-4-68 导入根证书

在导入根证书之后，暂时先不要关闭“控制台”窗口，稍后还会用到。

3.申请服务器身份验证证书

切换到IE浏览器，在证书申请页，继续申请证书，主要步骤如下。

1）在证书申请页单击“申请证书”链接，如图2-4-69所示。

2）在“申请一个证书”页，单击“高级证书申请”链接，如图2-4-70所示。

图2-4-69 申请证书

图2-4-70 申请高级证书

3）在“高级证书申请”页，单击“创建并向此CA提交一个申请”链接，如图2-4-71所示。

4）申请证书的时候，有三个关键点：证书的名称要与对外提供服务的名称一致、证书类型是“服务器身份验证证书”、“标记密钥为可导出”，如图2-4-72所示。其他可以随意设置。在本示例中，申请的第一个证书名称为mh.heuet.com。

(www.xing528.com)

图2-4-71 继续申请证书

图2-4-72 申请证书时的各项设置

【说明】如果是为其他服务申请的，有的时候申请的证书名称需要与计算机名称一致，此时要记下对应的计算机的名称，再申请同名证书。

5）如果你在证书服务器的属性页中，设置了自动颁发证书，则会提示“证书已颁发”，单击“安装此证书”链接，即可安装证书，如图2-4-73所示。

6）之后单击“主页”，参照1）～5）的步骤，再次申请一个服务器证书，证书名称为vmm.heuet.com（这是为VMM服务器申请证书），如图2-4-74所示。申请之后安装该证书。

4.导出用户证书

在安装完证书之后，还需要将证书从“用户存储”中导出，然后导入到“计算机存储”中，才能为服务器使用。

1）切换到“控制台”窗口，在左侧依次展开“证书-当前用户→个人→证书”，此时可以看到，当前有两个证书，分别为mh.heuet.com及vmm.heuet.com，需要将这两个证书导出。首先选中vmm.heuet.com，右击，在弹出的快捷菜单中选择以“所有任务→导出”命令，如图2-4-75所示。

2）“在证书导出向导”下的对话框“导出私钥”对话框中，选中“是，导出私钥”选项，如图2-4-76所示，单击“下一步”按钮。

图2-4-73 安装证书

图2-4-74 为VMM服务器申请证书

图2-4-75 导出证书

3）在“导出文件格式”对话框中，选中“如果导出成功，则删除密钥”选项，如图2-4-77所示。这样，可以防止他人再导出证书。

4）在“密码”对话框中，设置密码，用来保护导出的私钥，如图2-4-78所示。

图2-4-76 导出私钥

图2-4-77 导出成功删除密钥

图2-4-78 设置私钥保护密码

5）在“要导出的文件”对话框中，单击“浏览”按钮，为导出的证书设置保存的路径与保存文件名，如图2-4-79所示。在本例中，将证书导出到“桌面”，并设置保存文件名为“vmm.heuet.com.pfx”（其中pfx是扩展名，不显示）。

6）导出成功后，单击“完成”按钮，如图2-4-80所示。

7）参照上述步骤，将mh.heeut.com证书导出（同样需要导出“私钥”），导出文件名为“mh.heuet.com.pfx”。

图2-4-79 设置证书的保存路径与保存文件名

图2-4-80 导出成功

【说明】如果申请证书的计算机与使用证书的计算机没有在同一台计算机上，可以将导出文件通过网络、U盘、电子邮件等方式复制或发送到对方计算机上并导入。

5.将服务器证书导入到计算机存储中

证书导出成功后，还需要将服务器证书“导入”到计算机存储中，操作步骤如下。

1）在证书管理控制台中，依次展开“证书（本地计算机）→个人→证书”，将原有的证书选中然后删除，如图2-4-81所示。

2）右击“证书”从弹出的菜单中选择“所有任务→导入”命令，如图2-4-82所示。

图2-4-81 删除原有的证书

图2-4-82 导入证书

3）在“证书导入向导→要导入的文件”对话框中，选择前面导出的证书文件，由于当前是在Hyper-V主机上，所以导入的证书文件名为mh.heuet.com.pfx，如图2-4-83所示。

4）在“密码”对话框中，键入保护私钥的密码，如图2-4-84所示，可以取消选中“标志此密钥为可导出的密钥”选项，这样即使他人登录你的服务器，也不能将证书及私钥导出，这对保证证书的安全性至关重要。

5）导入成功之后，单击“完成”按钮，如图2-4-85所示。

图2-4-83 选择要导入的证书

图2-4-84 键入保护密码

图2-4-85 导入完成

【说明】稍后，在VMM虚拟机中，也需要使用MMC，通过添加“证书→当前计算机”，导入并信任根证书、导入名为vmm.heuet.com.pfx证书，完成计算机证书的替换。在后文相应的步骤会有提醒。